Après Spectre et Meltdown, Intel crée un bug bounty à 250 000 dollars

Intel veut éviter de voir des failles critiques comme Spectre et Meltdown sortir au grand jour. Le fondeur vient d’étendre son programme de recherche de bugs ainsi que le montant des récompenses.

Il y avait été du bout des pieds. Le premier programme de bug bounty d’Intel était limité, mais la découverte des failles Spectre et Meltdown ont changé la donne. Ces vulnérabilités ont été trouvées par des experts en sécurité, notamment de Google, mais sans rentrer dans le cadre du bug bounty. Critiqué pour sa gestion rocambolesque des correctifs, le fondeur ne veut pas revivre les mêmes affaires.

Pour cela, Intel vient d’annoncer le lancement d’un nouveau bug bounty. Il est hébergé sur la plateforme HackerOne et porte sur plusieurs éléments : hardware (processeurs, SSD, carte-mère, carte réseau), firmware et logiciels.

250 000 dollars pour les attaques side channel

En fonction du type et de la gravité des failles trouvées, Intel est prêt à sortir le carnet de chèques en proposant des récompenses pouvant atteindre 250 000 dollars. Ce plafond est disponible sur un programme visant des bugs utilisant les canaux auxiliaires (side channel), c’est-à-dire via un logiciel en local. En l’occurrence Spectre et Meltdown appartiennent à cette catégorie.

En terme de gravité, les 3 CVE (1 pour Meltdown et 2 pour Spectre) affichent une criticité de 5,9 sur une échelle de 10. Selon le tableau fourni par Intel, les chercheurs auraient pu prétendre à une récompense de 60 000 dollars, soit 20 000 dollars pour chaque vulnérabilité. A noter que ce programme a une durée de vie limitée jusqu’au 31 décembre 2018.

Certains diront que cette initiative s’apparente à un plan de communication de la part d’Intel pour faire oublier sa mauvaise gestion de Spectre et Meltdown. Le fondeur a mis 4 mois entre le moment de la découverte des failles et l’avertissement aux équipementiers. Les correctifs ont été mal organisés au point même d’en rappeler certains, comme le patch sur la deuxième variante de Spectre.

Photo credit: DigitalMajority on VisualHunt /  CC BY-NC-SA

 

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s